Dienstag, der 14. Juli 2026, ist der Patch Tuesday des Monats — und für SQL Server 2016 ist es der letzte Termin seines Lebens: Mit dem Ende des erweiterten Supports sind die in dieser Woche verteilten Updates die letzten, die Microsoft je für diese Version veröffentlichen wird. Die Ausstiegsstrategie — Upgrade auf SQL Server 2022, Azure SQL, Extended Security Updates — haben wir in unserem Leitfaden der letzten Woche behandelt. Dieser Beitrag ist bodenständiger: was diese Woche zu tun ist, in der richtigen Reihenfolge. Wir aktualisieren den Artikel mit den Details der Updates, sobald Microsoft sie am Dienstagabend veröffentlicht.
Warum der letzte Patch mehr zählt als alle anderen
Nach Dienstag bleibt jede neu entdeckte Schwachstelle in SQL Server 2016 für immer offen— es sei denn, man zahlt für ESU. Und neue Schwachstellen werden kommen: SQL Server 2017, 2019 und 2022 teilen große Teile ihrer Codebasis mit 2016, und jedes Mal, wenn Microsoft dort ein Problem behebt, prüfen Forscher und Angreifer, ob die Lücke auch in 2016 existiert — wo jedoch nie wieder ein Patch eintreffen wird. Genau dieser Mechanismus macht Systeme ohne Support Monat für Monat zu leichteren Zielen: Man muss keine neue Lücke finden, man wartet, bis eine alte auftaucht.
Deshalb muss das finale Update überallinstalliert werden, auch auf Instanzen, die bald migrieren: Es ist der sicherstmögliche Ausgangspunkt für die Übergangsmonate.
Die Inventur: die Instanzen, von denen Sie nichts wissen
Die Erfahrung im Feld sagt etwas Präzises: SQL Server 2016 überlebt selten auf der Hauptdatenbank, auf die jemand achtet — und viel öfter in den SQL-Express-Instanzen, die Fachanwendungen installieren: Buchhaltung, Produktion, Zeiterfassung, Zutrittssysteme, Antivirus-Konsolen, Telefonanlagen. Es ist derselbe Motor mit denselben Schwachstellen, aber niemand hält sie für „eine Datenbank“: Sie gehören zur Anwendung, und genau deshalb patcht sie niemand.
- Suchen Sie nach Diensten, nicht nach Symbolen.Prüfen Sie auf jedem Server (und auf Clients, die als Mini-Server dienen) die Windows-Dienste:
MSSQLSERVERist die Standardinstanz,MSSQL$NAMEsind benannte Instanzen — typisch für Express-Installationen von Fachanwendungen. - Verifizieren Sie die Version per Abfrage.
SELECT @@VERSIONauf der Instanz: Beginnt der Build mit 13.0, ist es SQL Server 2016. Der letzte unterstützte Servicing-Stand ist Service Pack 3: Wer zurückliegt, muss zuerst dorthin, um das finale Update zu erhalten. - Fragen Sie die Hersteller Ihrer Anwendungen.Für jeden gefundenen Express gibt es eine einzige Frage an den Hersteller: „Ist die Anwendung für SQL Server 2019 oder 2022 zertifiziert?“ Die Antwort entscheidet den Weg dieser Instanz — und den Zeitplan.
Die Checkliste der Woche
| Wann | Was zu tun ist |
|---|---|
| Heute und morgen | Instanzen inventarisieren (Dienste + @@VERSION) und Backups verifizieren: Ein getestetes Backup vor dem Patchen ist keine Bürokratie, sondern das Sicherheitsnetz. |
| Ab Dienstagabend | Das finale Sicherheitsupdate (GDR) auf allen2016-Instanzen installieren, Express inklusive — Neustarts mit den Anwendungsherstellern planen. |
| Bis Monatsende | Den Weg für jede Instanz festlegen: Upgrade auf SQL Server 2022, Azure SQL oder ESU via Azure Arc als Brücke. Die Kriterien im eigenen Leitfaden. |
| Solange 2016 bleibt | Exposition reduzieren: kein Zugriff aus dem Internet, Netzwerksegmentierung, minimale Zugriffsrechte, aktives Monitoring. Eine Datenbank ohne Support ist wie ein empfindlicher Gast zu behandeln, nicht wie ein beliebiger Dienst. |
ESU via Azure Arc, praktisch
Für Instanzen, die nicht kurzfristig migrieren können — typischerweise weil die Fachanwendung noch nicht für neuere Versionen zertifiziert ist — sind die Extended Security Updates die offizielle Brücke: reine Sicherheitsupdates bis zum 17. Juli 2029, abonniert über die Verbindung des Servers mit Azure Arc, das sie verteilt und als monatliches Abonnement abrechnet — ohne Enterprise-Verträge, mit Kosten, die Jahr für Jahr steigen, um daran zu erinnern, dass es eine Brücke ist und kein Ziel. Das Arc-Onboarding dauert wenige Stunden und bringt zentrale Inventur und Monitoring auch für On-Premises-Server mit.
Unser Modell
Für alle ohne internen IT-Ansprechpartner, der dieser Woche Zeit widmen kann: Genau das machen wir — Instanzeninventur, Rollout des finalen Updates, ESU-Aktivierung wo nötig und Migrationsplan, als Teil von Support und Operations und unseren Projekten zur Server-Virtualisierung.
Quellen
- Microsoft Learn — „SQL Server 2016 end of support“ und „Extended Security Updates for SQL Server“
- Microsoft Lifecycle — SQL Server 2016 (Ende des erweiterten Supports: 14. Juli 2026)
- Microsoft Security Update Guide (MSRC) — Patch-Tuesday-Updates Juli 2026
Mehr erfahren
Häufige Fragen
Antworten auf die häufigsten Fragen zu den letzten Patches für SQL Server 2016.
Nein: Er funktioniert genau wie zuvor. Was endet, ist der erweiterte Support — und damit die Sicherheitspatches. Jede ab dem 15. Juli entdeckte Schwachstelle bleibt für immer offen, es sei denn, Sie abonnieren die Extended Security Updates (ESU) über Azure Arc, verfügbar bis zum 17. Juli 2029. Das Risiko ist kein Stillstand: Es ist eine mit der Zeit wachsende Exposition.
Der direkteste Weg ist SELECT @@VERSION auf der Instanz: SQL Server 2016 meldet Build 13.0.x. Alternativ suchen Sie auf den Servern nach Windows-Diensten, die mit MSSQL$ beginnen (benannte Instanzen, typisch für Express-Installationen von Fachanwendungen) oder MSSQLSERVER. Der letzte unterstützte Servicing-Stand ist Service Pack 3: Wer zurückliegt, muss zuerst SP3 erreichen, um das finale Update zu erhalten.
Ja — wahrscheinlich mehr als diejenigen mit einem DBA: Express ist derselbe Motor wie SQL Server, mit denselben Schwachstellen, aber niemand kümmert sich darum, weil er „zur Anwendung gehört“. Es ist der häufigste Weg, wie SQL 2016 in einem Unternehmen überlebt. Er muss inventarisiert, mit dem letzten Patch aktualisiert und in den Migrationsplan aufgenommen werden — in Abstimmung mit dem Anwendungshersteller zur Kompatibilität mit neueren Versionen.
Ja, ohne Zögern. Eine Migration dauert Wochen oder Monate, und in dieser Zeit bleibt die Instanz in Produktion: Das finale Update ist der sicherstmögliche Ausgangspunkt. Zudem werden Forscher und Angreifer, wenn Microsoft künftig Schwachstellen in SQL 2017, 2019 und 2022 behebt, prüfen, ob sie auch 2016 betreffen: Eine Instanz auf einem alten Build ist das leichteste Ziel der Kette.
Extended Security Updates sind reine Sicherheitsupdates (kritisch und wichtig), die Microsoft nach dem Support-Ende verkauft. Für SQL Server 2016 abonniert man sie, indem man den Server mit Azure Arc verbindet, das sie verteilt und als Abonnement abrechnet: Sie decken bis zum 17. Juli 2029 ab, mit Kosten, die Jahr für Jahr steigen. Sie sind eine Brücke, um die Migration in Ruhe zu planen — kein Ziel.